Het traditionele idee dat beveiligingsbewustzijn de sleutel is om bedrijven te beschermen, komt steeds meer onder druk te staan. In plaats van mensen simpelweg als “menselijke firewalls” te trainen, moeten we ons realiseren dat beveiligingsproblemen niet verdwijnen door bewustzijn alleen. Ondanks intensieve trainingen en simulaties blijven medewerkers op kwaadaardige links klikken. Het is dus tijd voor een andere benadering.
Waarom bewustzijnstrainingen falen
Beveiligingsbewustzijnstrainingen zijn al jaren een standaardonderdeel van veel bedrijven. Elk jaar volgen medewerkers trainingen en ondergaan ze phishing-simulaties om hun beveiligingskennis te testen. Toch blijven dezelfde fouten opduiken. De reden hiervoor is simpel: menselijk gedrag verandert niet zomaar door nieuwe kennis. Zoals iemand ooit zei: “Als bewustzijn genoeg was, zou niemand roken.” Met andere woorden, het weten van de risico’s is niet hetzelfde als het daadwerkelijk veranderen van gedrag.
Mensen, zowel consumenten als werknemers, vermijden frictie. Ze willen hun doelen zo snel en efficiënt mogelijk bereiken, zelfs als dat betekent dat ze beveiligingsregels overtreden. Dit wordt versterkt door de structuur van prikkels binnen bedrijven: verkoop- en ontwikkelteams worden bijvoorbeeld beoordeeld op hun productiviteit en niet op hun beveiligingsbewustzijn. Hierdoor zoeken ze naar de snelste manier om hun doelen te bereiken, vaak ten koste van de veiligheid.
Waarom beveiligingsbewustzijn niet volstaat
De strijd om bedrijven te beveiligen lijkt veel op de strijd om consumenten te beveiligen. Hoewel beveiligingsprofessionals vaak denken dat de beveiligingsproblemen van consumenten weinig te maken hebben met die van ondernemingen, zijn de oorzaken vaak dezelfde. Mensen houden niet van complexiteit en zullen alles doen om frictie te vermijden. Daarom werkt beveiligingsbewustzijn zelden effectief. Het is gebaseerd op de onjuiste aanname dat mensen volledig rationeel zijn en zich altijd aan de regels houden wanneer ze op hun werkplek zijn. De realiteit is echter dat mensen fouten maken, zelfs de meest technische medewerkers.
De voortdurende afhankelijkheid van mensen om zichzelf en hun organisaties te beschermen via beveiligingsbewustzijn creëert een kwetsbaarheid die makkelijk door aanvallers kan worden uitgebuit. Phishing, bijvoorbeeld, blijft een van de meest succesvolle aanvalsmethoden omdat het inspeelt op menselijke fouten en emoties, zoals nieuwsgierigheid, angst en tijdsdruk. Geen enkele bewustzijnstraining kan deze menselijke reacties volledig elimineren.
De noodzaak van een andere aanpak: Cybersecurity UX
Als we accepteren dat mensen van nature fouten maken en complexiteit willen vermijden, moeten we beveiligingsmaatregelen ontwerpen die daarmee rekening houden. Dit betekent dat we een discipline van cybersecurity UX (user experience) moeten ontwikkelen, waarbij beveiliging wordt ontworpen met de menselijke psychologie in gedachten.
Net zoals de discipline van UX zich heeft ontwikkeld om technologie gebruiksvriendelijker te maken, moet cybersecurity UX zich richten op het verminderen van de frictie die beveiligingsmaatregelen veroorzaken. We moeten beveiligingscontroles ontwerpen die intuïtief zijn en die het voor mensen gemakkelijk maken om het juiste te doen, zonder dat ze bewust moeten nadenken over hun keuzes.
Een voorbeeld hiervan is het concept van “guardrails” en “paved roads”, zoals geïntroduceerd door Jason Chan, voormalig VP Security bij Netflix. Guardrails zijn geautomatiseerde beveiligingscontroles die gebruikers helpen veilig te blijven zonder hun werk te verstoren. Paved roads bieden de veiligste en meest efficiënte route voor gebruikers, waardoor ze minder geneigd zijn om af te wijken van veilige werkwijzen.
Accepteer dat fouten onvermijdelijk zijn
Een van de belangrijkste lessen die we moeten leren, is dat fouten onvermijdelijk zijn. Het is niet de vraag of een medewerker op een kwaadaardige link zal klikken, maar wanneer dat gebeurt. Daarom moeten we beveiligingsmaatregelen ontwerpen met de aanname dat mensen fouten zullen maken.
In plaats van volledig te vertrouwen op het voorkomen van fouten, moeten we ons richten op het beperken van de impact wanneer die fouten onvermijdelijk gebeuren. Dit betekent dat we redundante beveiligingslagen moeten implementeren en een zero-trust model moeten hanteren, waarbij elke toegang en actie voortdurend wordt gecontroleerd en gevalideerd.
De toekomst van beveiliging in organisaties
Om echt effectief te zijn, moeten beveiligingsstrategieën verder gaan dan alleen bewustzijnstraining. Ze moeten rekening houden met de menselijke natuur en beveiliging zo ontwerpen dat het voor medewerkers makkelijker en efficiënter is om veilig te werken. Dit betekent dat beveiligingsmaatregelen moeten worden geïntegreerd in de infrastructuur van een organisatie, zodat het veiligste gedrag ook het meest voor de hand liggende is.
Het is tijd om te stoppen met het beschuldigen van medewerkers als “de zwakste schakel” in de beveiligingsketen en in plaats daarvan beveiligingssystemen te bouwen die rekening houden met hun natuurlijke neigingen. Door beveiligingscontroles te ontwerpen die frictie verminderen en fouten minimaliseren, kunnen we organisaties veiliger maken, zelfs als medewerkers fouten blijven maken.
In de toekomst zal het succes van een beveiligingsstrategie niet langer afhankelijk zijn van het vermogen van mensen om altijd de juiste beslissing te nemen. In plaats daarvan zal het afhangen van ons vermogen om systemen te ontwerpen die mensen beschermen, zelfs wanneer ze zich vergissen.
Conclusie
Het idee dat beveiligingsbewustzijn voldoende is om bedrijven te beschermen, is achterhaald. Mensen maken fouten, vermijden complexiteit en zoeken altijd de gemakkelijkste weg. Om organisaties veiliger te maken, moeten we een nieuwe aanpak omarmen, waarbij beveiligingsmaatregelen worden ontworpen met de menselijke natuur in gedachten. Dit betekent minder focus op bewustzijnstraining en meer aandacht voor cybersecurity UX, guardrails en paved roads. Beveiliging moet zo worden ontworpen dat het gemakkelijk, intuïtief en frictieloos is, zodat medewerkers automatisch het juiste doen. Pas dan kunnen we echt spreken van een veerkrachtige beveiligingsstrategie.